5.3 工作任务三 DDN专线互联
【任务分析】
本工作任务的目标是使用DDN租用专线互联老校区与新校区两个局域网。要使用DDN或SDH专线,必须在每个局域网的边缘部署一台路由器,通过广域网接口模块的串行接口或以太网接口连接到运营商的CSU/DSU设备。本工作任务将在老校区和新校区各部署一台思科2911路由器(如图5-10,主机名分别是Laoxiao和Xinxiao),每台路由器安装一块HWIC-2T两端口高速同步广域网接口模块,如图5-21所示,用户路由器与运营商CSU/DSU之间通过V.35 DTE线缆连接。在实验环境中,由于没有运营商的设备,直接用一条V.35 DCE线缆和一条V.35 DTE线缆通过D形连接器对接起来,如图5-22所示。在DCE一端的路由器串行接口上,需要配置时钟频率(clock rate),模拟运营商提供的线路速率。在串行链路上运行数据链路层协议是PPP,并启用CHAP双向身份验证。
 |  |
| 图5-21 HWIC-2T广域网接口模块图 | 5-22实验环境中的DDN连接 |
【任务要求】
任务名称 | DDN专线互联 |
任务目标 | 了解DDN专线的数据链路层协议HDLC、PPP的配置。掌握PPP身份验证配置。 |
学习方式与工具 | Cisco 2811或2911路由器、串口模块、串行线缆、计算机、Packet Tracer、GNS3、Internet搜索、资料查阅。 |
相关知识 | Cisco Packet Tracer的使用方法,GNS3模拟器的使用方法。 |
工作任务 | (1)掌握HDLC和PPP的概念和配置; (2)掌握PPP PAP身份验证的工作原理和配置; (3)掌握PPP CHAP身份验证的工作原理和配置; (4)使用PPP协议将新校区与老校区通过DDN技术实现广域网互联。 |
完成任务和成果 | DDN技术实现广域网互联各配置文档。 |
5.3.1 PPP与HDLC协议
1.PPP协议
PPP(Point-to-Point Protocol,点对点协议)是一种面向字符的,在点到点串行链路上使用的数据链路层协议。PPP既支持同步链路,也支持异步链路,所以可以在同步、异步专线和PSTN异步拨号连接以及ISDN同步拨号连接中使用。
HDLC和PPP只支持点到点的链路连接,所以在数据封装中没有定义数据链路层的地址信息。而像以太网这样的多路访问网络,在一条链路上可以存在多个主机,因此定义了MAC地址作为数据链路层地址。
(1)PPP的主要组成及作用
PPP并非单一的协议,而是由一系列协议构成的协议族。PPP的主要组成协议以及作用如下:
① LCP(Link Control Protocol,链路控制协议):主要用于管理PPP数据链路,包括链路层参数的协商,建立、监控和拆除数据链路等。LCP还负责身份验证、压缩、错误检测和多链路(PPP-MP)等功能。PPP会话建立的第一个阶段,即链路建立阶段是由LCP完成的。
② NCP(Network Control Protocol,网络控制协议):用于建立和配置各种不同的网络层协议,包括IPCP、IPXCP以及其它多种NCP,每一种网络层协议都有一种对应的NCP为其提供服务。当LCP完成链路建立和身份验证后,就由NCP负责网络层协议协商,协商通过后,PPP会话建立成功。
③身份验证协议:PPP的身份验证包括PAP(Password Authentication Protocol,密码验证协议)和CHAP(Challenge Handshake Authentication Protocol,挑战握手验证协议)两种。PAP为两次握手验证,以明文发送用户名和密码。CHAP为三次握手验证,以散列值发送验证信息,比PAP更加安全。
(2)PPP的配置
要在路由器串行接口上启用PPP协议封装数据帧,在接口配置模式下输入以下命令:
Router(config-if)#encapsulation ppp
一条串行链路的两端必须使用相同的数据链路层协议,否则接口的链路层协议会处于down状态。
2.HDLC协议
HDLC(High-level Data Link Control,高级数据链路控制)协议是一种面向比特的数据链路层协议,对任何一种比特流均可以透明传输。HDLC是串行链路的一种基本封装方式,PPP和帧中继的帧格式都是以HDLC为基础的。HDLC通过周期性发送Keepalive消息来探测链路及对端的状态,HDLC具备全双工通信、防止漏收重收和帧格式统一的特点。
思科路由器的高速同步串行接口的默认数据链路层封装是HDLC,如果当前的接口封装不是HDLC,在接口配置模式下使用以下命令将封装更改为HDLC:
Router(config-if)#encapsulation hdlc
其他厂商,如华为、H3C路由器的高速同步串行接口的默认数据链路层封装是PPP。在实际工程中,由于HDLC协议受到不支持身份验证,不支持地址协商等功能限制,所以使用较少。
5.3.2 PPP PAP验证与配置
主要内容
项目导入
1.PAP的工作过程
第一步:被验证方主动以明文方式向主验证方发送在接口上配置的用户名和密码。
第二步:主验证方检查本地用户列表,或从Radius服务器上查询用户信息,核实用户名和密码。如果用户名和密码正确则验证通过,如果不正确则验证失败。
如果由于链路故障及错误配置等问题,验证没有通过,被验证方会反复尝试验证,直到验证失败次数超过一定值时,链路才会被关闭。
以上是PAP单向验证的过程,如果两台路由器都既是被验证方,也是主验证方,则形成双向PAP验证。PAP通过两次握手完成身份验证,以明文的方式发送密码,而且不能防护回送或反复试错攻击,所以仅适用于对网络安全要求相对较低的环境。
2.PAP的配置
(1)单向PAP验证的配置
在单向PAP验证中,将新校区路由器作为被验证方,老校区路由器作为主验证方。
①新校区路由器的配置过程(被验证方)
Xinxiao(config)#interface serial 0/0
Xinxiao(config-if)#no shutdown
Xinxiao(config-if)#clock rate 2000000
Xinxiao(config-if)#encapsulation ppp
!配置接口向外发送的PAP用户名和密码
Xinxiao(config-if)#ppp pap sent-username xinxiao password 123
Xinxiao(config-if)#ip address 172.31.0.6 255.255.255.252
②老校区路由器的配置过程(主验证方)
Laoxiao(config)#username xinxiao password 123 !配置本地用户和密码
Laoxiao(config)#interface serial 0/0
Laoxiao(config-if)#no shutdown
Laoxiao(config-if)#encapsulation ppp
Laoxiao(config-if)#ppp authentication pap !配置本接口为主验证方
Laoxiao(config-if)#ip address 172.31.0.5 255.255.255.252
5.3.3 PPP CHAP验证原理与配置
主要内容
项目导入
(1)新校区路由器的配置过程(被验证方)
R1(config)#hostname Xinxiao !配置主机名
Xinxiao(config)#username Laoxiao password 123456 !配置本地用户和密码
Xinxiao(config)#interface serial 0/0
Xinxiao(config-if)#no shutdown
Xinxiao(config-if)#clock rate 2000000
Xinxiao(config-if)#encapsulation ppp
Xinxiao(config-if)#ip address 172.31.0.6 255.255.255.252
(2)老校区路由器的配置过程(主验证方)
R2(config)#hostname Laoxiao !配置主机名
Laoxiao(config)#username Xinxiao password 123456 !配置本地用户和密码
Laoxiao(config)#interface serial 0/0
Laoxiao(config-if)#no shutdown
Laoxiao(config-if)#encapsulation ppp
Laoxiao(config-if)#ppp authentication chap !配置本接口为主验证方
Laoxiao(config-if)#ip address 172.31.0.5 255.255.255.252
(3)CHAP的工作过程
结合CHAP单向验证的配置,了解CHAP的工作过程:
①主验证方主动发起验证请求,向被验证方发送挑战信息,包括报文ID、一个随机产生的数值以及用户名(即自己的主机名Laoxiao)。
②被验证方接收到主验证方的验证请求后,根据接收到的用户名(Laoxiao)检查本地用户列表,或从Radius服务器查询用户信息。由于被验证方的本地用户列表中包括一个用户Laoxiao,密码是123456,所以被验证方使用MD5算法将主验证方发过来的报文ID、随机数值和用户Laoxiao所对应的密码123456计算出一个散列值。被验证方将散列值与用户名(即自己的主机名Xinxiao)发送给主验证方。
③主验证方根据接收到的用户名(Xinxiao)检查本地用户列表,或从Radius服务器查询用户信息。由于主验证方的本地用户列表中包括一个用户Xinxiao,密码是123456,所以主验证方使用MD5算法将之前发给被验证方的报文ID、随机数值和用户Xinxiao所对应的密码123456计算出一个散列值。主验证方将从被验证方接收到的散列值与自己计算出的散列值相比较,如果相同则验证通过,如果不相同则验证失败。
CHAP验证通过三次握手完成身份验证,以散列值的方式发送密码。CHAP只在网络上以明文传输用户名,而不以明文传输密码。由于报文ID和随机数是由主验证方产生的,所以CHAP可以在首次验证通过后,进行周期性的重复验证,每次验证使用不同的随机数值。
CHAP不允许被验证方在没有接收到主验证方的挑战信息前主动进行验证尝试。CHAP的挑战信息是不可预测的,可以防止回放攻击,而且无法由散列值反向推算出密码,所以CHAP验证比PAP验证更加安全、可靠。
(1)双向CHAP验证的配置
在上面的配置中,已经使用单向CHAP验证配置了新校区和老校区的路由器,其中新校区路由器是被验证方,老校区路由器是主验证方。想要实现双向的CHAP验证,只需要保留CHAP单向验证配置,在新校区路由器上添加以下命令即可:
Xinxiao(config)#interface serial 0/0
Xinxiao(config-if)#ppp authentication chap !配置本接口为主验证方
这样就完成了双向CHAP验证的配置。
【任务归纳】
要使用DDN专线实现广域网互联,需要在每一个局域网节点部署一台安装了高速同步广域网接口模块的企业级路由器。需要建立多少条广域网连接,就需要在路由器上配备多少个串行接口。在安装、调试用户路由器之间,应确保运营商已经在传送网中配置好了专用线路。
DDN专线的数据链路层协议可以选用PPP或HDLC。出于设备兼容性考虑,对于大多数工程,建议采用PPP协议封装。由于DDN专线具有高可靠性、高安全性的特点,所以在实际工程中通常是没有必要为PPP链路配置身份验证的。
PPP是点到点串行链路中最常用的数据链路层协议。PPP协议具有广泛适用性,在PPPoE、802.1X以及L2TP VPN中,都会用到PPP协议并可能使用PAP/CHAP身份验证。
